5.2.5  訪問控制

訪問控制包含4個控制目標(biāo)14個控制措施。

　　組織應(yīng)建立統(tǒng)一的訪問控制策略并形成正式文件。資產(chǎn)責(zé)任人應(yīng)決定訪問其資產(chǎn)的指定用戶的適當(dāng)?shù)脑L問控制規(guī)程、訪問權(quán)利和限制，訪問控制策略需有適量的細(xì)節(jié)和嚴(yán)格的控制措施，以反映相關(guān)的信息安全風(fēng)險。訪問控制包括邏輯的和物理的，它們要一起考慮。要給用戶和服務(wù)提供商提供一份清晰的滿足業(yè)務(wù)要求的說明。在規(guī)定訪問控制規(guī)則時，建議在

“未經(jīng)明確允許，則一律禁止”的前提下，而不是“未經(jīng)明確禁止，一律允許”的弱規(guī)則的基礎(chǔ)上建立規(guī)則。訪問控制策略需適用于物理環(huán)境、網(wǎng)絡(luò)、服務(wù)器、終端、應(yīng)用系統(tǒng)和信息等多類對象，并分別留存不同用戶的訪問控制授權(quán)記錄。

組織要制定關(guān)于使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。網(wǎng)絡(luò)服務(wù)使用策略要與業(yè)務(wù)訪問控制策略相一致，并保存網(wǎng)絡(luò)日志。